# AN0846 — Analytic 0846 ## Descrição Esta analítica detecta a enumeração adversarial de contas de usuário locais utilizando Net.exe, WMI ou PowerShell em sistemas Windows. A telemetria utilizada inclui logs de segurança do Windows (Event ID 4798, 4799) e logs do Sysmon (Event ID 1) para criação de processos com argumentos típicos de enumeração de usuários. Esta detecção é importante pois a enumeração de contas locais é frequentemente o segundo passo após o acesso inicial, quando adversários buscam identificar contas de alta privilégio ou contas de serviço para usar em movimentação lateral e escalonamento de privilégios em ambientes corporativos Windows. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1087-001-local-account|T1087.001 — Local Account]] - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1059-powershell|T1059.001 — PowerShell]] --- *Fonte: [MITRE ATT&CK — AN0846](https://attack.mitre.org/detectionstrategies/DET0303#AN0846)*